I criminali informatici utilizzano UpCrypter per distribuire software malintenzionato
In una recente scoperta, i ricercatori di cybersecurity di Fortinet FortiGuard Labs hanno identificato una campagna globale di phishing che utilizza un carico personalizzato chiamato UpCrypter per installare strumenti di accesso remoto (RAT), consentendo agli aggressori di mantenere il controllo prolungato sui sistemi compromessi.
Le email di phishing di questa campagna contengono allegati HTML che reindirizzano le vittime a siti web contraffatti, personalizzati per ciascun destinatario, con l'indirizzo email e il logo dell'azienda. Queste email personalizzate e siti web falsi sono progettati per consegnare download dannosi.
UpCrypter, che è stato presentato su YouTube, è al centro della campagna di phishing osservata. Questo script esegue comandi PowerShell e sfugge ai tool di rilevamento controllando gli strumenti forensi, le macchine virtuali e i sandbox prima di eseguire.
Una volta installato, UpCrypter scarica componenti aggiuntivi, li esegue in memoria e stabilisce la persistenza alterando le chiavi di registro. In alcuni casi, i dati vengono nascosti all'interno dei file delle immagini utilizzando la steganografia per evitare i controlli di sicurezza.
I carichi utili finali osservati includono PureHVNC, DCRat e Babylon RAT. Questi strumenti consentono agli aggressori di eseguire azioni come la registrazione della tastiera, il furto di file e il controllo completo di una macchina target. Se si sospetta un'analisi, UpCrypter forza il riavvio del sistema per ostacolare le indagini.
I settori più colpiti da questa campagna includono la produzione, la tecnologia, la sanità, l'edilizia e il commercio/ospitalità. L'operazione si sta espandendo rapidamente, con rilevamenti che raddoppiano in sole due settimane.
Fortinet consiglia di utilizzare filtri email robusti e di formare il personale per riconoscere e evitare questo tipo di attacchi. Questa campagna di phishing non è uno schema semplice per rubare le credenziali dell'email, ma piuttosto una catena di attacchi completa che installa malware sofisticato all'interno degli ambienti aziendali.
Gli utenti sono invitati a essere vigili e a evitare di scaricare eventuali allegati sospetti o di fare clic sui link da fonti sconosciute. Restate al sicuro e protetti online.
Leggi anche:
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
- Il trionfo di Trump: ripercussioni nazionali e internazionali della sua elezione
- Non ignorare il sostegno finanziario pubblico alle emittenti
